Question:
Le chiffrement intégral du disque sur un serveur dans un centre de données sécurisé est-il inutile?
user4755220
2015-05-22 10:23:56 UTC
view on stackexchange narkive permalink

J'ai un débat avec plusieurs personnes sur la protection offerte par le chiffrement intégral du disque. dm-crypt est utilisé pour crypter des données qui doivent être cryptées par mon entreprise au repos. Les serveurs Linux hébergeant les données résident dans un centre de données sécurisé avec très peu de risque d'accès physique non autorisé, encore moins que quelqu'un vole réellement le serveur.

Mon argument est que dans cette situation, cela tout en respectant la lettre de la loi, ils n'ont pratiquement rien fait pour réduire les risques associés aux données non chiffrées. En effet, d'un point de vue logique, ils sont exactement dans la même situation que si aucun chiffrement n'avait été implémenté du tout. Je suis cependant curieux de savoir si ce train de pensées est correct, pensées?

Pour adapter la question davantage à ma situation spécifique, en ce qui concerne la protection physique, les commandes qui sont généralement très saines. Je ne dis pas que le risque est éliminé, mais il est considéré comme faible. De même avec l'élimination des disques, les contrôles de destruction fonctionnent assez efficacement et le risque est considéré comme faible. Du point de vue de l'accès logique, les serveurs ne sont pas face à Internet, sont derrière un pare-feu, l'accès logique est bien contrôlé (mais beaucoup y ont accès) et ils ne sont pas virtualisés. De plus, les serveurs fonctionnent 24h / 24 et 7j / 7, la seule fois où ils sont redémarrés, c'est s'ils sont nécessaires après un changement ou lors de l'installation d'un nouveau. p outils de cryptage disponibles. Alors que les gens dont je discute soutiennent que ce n'est pas le cas.

Réflexions qui viennent à l'esprit: si un serveur est éteint, les pilotes peuvent être volés. Il n'y a rien de mal avec la sécurité en profondeur. Si le serveur est éteint, qu'est-ce qu'on empêche de déconnecter le réseau du serveur et de le démarrer? Je pensais juste à voix haute.
Ce n'est pas tout à fait inutile mais ajoute une couche de complexité et réduit légèrement les performances.
Si votre entreprise fait quelque chose d'intéressant, il y a toujours le risque que des personnes souriantes et dotées de mandats souhaitent un accès matériel à votre serveur pendant quelques heures. Bien sûr, seuls eux et les employés de DC savent que cela s'est produit. FDE peut aider à protéger vos clients dans cette situation, même si ni vous ni eux ne le savez.
@dotancohen et il est peu probable que vous soyez en mesure de le détecter en supposant qu'ils retirent les bons disques d'un RAID correctement configuré, les imaginent et les reconnectent
Comme l'indique @dotancohen, vous surestimez probablement la sécurité physique de vos disques dans ce scénario. Je suppose que toute entreprise qui a besoin de payer les frais d'hébergement de ses systèmes dans un centre de données à «sécurité maximale» considérera également qu'il est courant de crypter ses disques.
«peu de risque» n'est pas «aucun risque» et tout se résume à la gestion des risques. Les disques chiffrés, bien faits, aident à séparer les problèmes en empêchant l'accès aux données même si un accès physique aux serveurs / SAN est requis. Particulièrement important lors de l'externalisation de vos CD.
Et si quelqu'un trouve une faille dans votre système d'exploitation (ou branche une clé USB) et exécute son propre logiciel, peut-il lire la clé FDE depuis la mémoire?
Je ne peux pas être sûr d'après la question, demandez-vous des arguments selon lesquels FDE est meilleur que le chiffrement au niveau du fichier dans ce scénario (puisque vous dites, "en utilisant certains des autres outils de chiffrement au niveau du champ ou du fichier disponibles"), ou êtes vous recherchez des arguments selon lesquels FDE vaut mieux que pas de cryptage du tout (puisque vous dites, "d'un point de vue logique, ils sont exactement dans la même situation que si aucun cryptage n'avait été implémenté")?
Le contrat de maintenance de notre baie de stockage exige que les disques défectueux soient renvoyés à l'entreprise après leur remplacement (ou nous payons des frais de «non-retour» élevés sur les disques). Sans chiffrement de disque, le retour des disques peut ne pas être possible car vous ne pouvez pas effacer un disque défectueux. Nous avons fait sortir un plateau de disque entier une seule fois - cela nous aurait coûté environ 40 000 $ en frais de disque non retournés.
@Johnny On dirait qu'il aurait été moins cher de prétendre que les disques n'ont pas échoué plutôt que de payer les frais de non-retour.
Et si la sécurité du datacenter se dégrade? La gestion ou les politiques pourraient changer. À
@André le point de performance est discutable avec les lecteurs à auto-cryptage. Et utiliser la pile de compression / décompression transparente bien éprouvée dans ce cas n'est guère un complément de complexité du côté logiciel / système d'exploitation. Vous devrez cependant faire la gestion des clés.
Regardez les choses de cette façon: les airbags sont-ils inutiles dans une voiture équipée d'ABS et d'ESP et conduite uniquement par des conducteurs licenciés et professionnels? Non ils ne sont pas. Puisqu'il existe un risque de défaillance résiduel des mesures préventives, il doit y avoir un filet de sécurité pour limiter les dommages.
@syneticon-dj actuellement, la sécurité est sans objet pour les lecteurs à cryptage automatique. Nous ne pouvons même pas faire confiance à leur fonction d'effacement «sécurisé», pourquoi devrions-nous faire confiance à leur cryptage? Et la complexité ne doit pas être négligée, surtout si vous prévoyez d'entrer la clé à distance. J'ai regardé les solutions pour cela sur Linux et cela ne semble toujours pas fiable pour une utilisation en production.
@atsby - Si nous prétendions que les disques n'ont pas échoué, nous aurions perdu l'utilisation d'un plateau entier de disques dans notre matrice puisque les disques ont en fait échoué. Comme nous avons utilisé le cryptage complet du disque, nous les avons simplement renvoyés après avoir échangé les disques de remplacement, sachant que le cryptage empêcherait quiconque de récupérer des données. Sans chiffrement, nous aurions dû détruire physiquement les disques et nous aurions dû payer des frais de disque coûteux non retournés.
Un "data center sécurisé"? Comment le sais-tu? Quoi, y a-t-il des caméras et quelques flics de location non armés? [Ouais,] (http://www.theregister.co.uk/2007/11/02/chicaco_datacenter_breaches/) [bien] (http://www.computerworld.com/article/2538534/it-management/data- le vol du centre mène à une nouvelle réflexion sur la sécurité.html) [chance.] (http://royal.pingdom.com/2008/07/18/forget-about-hacking-your-servers-might -obtenu-volé /) L'armée? [Mieux.] (Https://en.wikipedia.org/wiki/PNS_Mehran_attack)
@André Vous pouvez faire confiance ou ne pas faire confiance à une implémentation particulière ou même à un fabricant particulier. Mais rejeter l'ensemble de fonctionnalités comme non digne de confiance simplement parce qu'il y a des problèmes avec une fonctionnalité ** entièrement différente ** sur ** certains ** modèles de disque semble comme jeter le bébé avec l'eau du bain.
Je crois en l'approche de la défense en profondeur. J'ai dû l'utiliser sur les serveurs du gouvernement de la Fed pour passer des audits de sécurité de qualité NSA. Voir: http://en.wikipedia.org/wiki/Defense_in_depth_%28computing%29
Est-ce un risque acceptable si votre serveur attaqué tombe en panne et redémarre immédiatement pour permettre à l'attaque de se poursuivre et de s'améliorer?
Neuf réponses:
Stephane
2015-05-22 11:56:33 UTC
view on stackexchange narkive permalink

Deux choses génériques que vous avez apparemment manquées:

  • En cas de panne de disque, le fait de chiffrer les données au repos résout le problème d'avoir des données potentiellement sensibles sur un support que vous pouvez ' t accéder plus. Cela rend l'élimination des disques défectueux plus facile et moins chère (et c'est un problème de moins)

  • Le chiffrement complet du disque rend également plus difficile pour un attaquant de récupérer les données de l'espace "vide" sur les disques (qui contiennent souvent des traces de données précédemment valides)

Et si vous utilisez des VM:

  • Crypter la partition vous oblige à moins dépendant de la sécurité de votre hyperviseur: si d'une manière ou d'une autre le contenu brut de l'un de vos disques «fuit» vers une autre VM (ce qui peut arriver si l'espace disque est réalloué à une autre VM et non remis à zéro), cette VM sera moins probable pour avoir accès aux données réelles (il faudrait également obtenir la clé de déchiffrement).
Le commentaire VM est un bon point et quelque chose auquel je n'ai pas pensé. Les serveurs dont je parle ne sont cependant pas virtualisés, ils n'hébergent qu'une seule application.
J'ai souvent eu ce débat et j'apprécie ces points car ils ont beaucoup de sens. Cependant, ils ne répondent pas à la question initiale, qui est de savoir si le cryptage des disques offre une sécurité inhérente en soi pendant que le serveur est opérationnel? Chaque expert en sécurité à qui je parle dit non. La seule valeur vient lorsque les lecteurs sont hors ligne / déconnectés.
@JohnVirgolino FDE est explicitement étiqueté comme «protection des données au repos». Pourquoi devrait-il ajouter une protection à un disque en ligne déverrouillé (c'est-à-dire décrypté)?
→ Stéphane: les points 1 et 3 sont des risques correctement couverts par un chiffrement complet du disque. Pour le point 2. Je ne suis pas si sûr. Pour moi sur de nombreux systèmes d'exploitation, si un attaquant a accès au disque en cours d'exécution non chiffré, les tampons IO et la partie du disque utilisée pour la mémoire virtuelle sont également accessibles via une lecture de base. Si je me trompe, pourriez-vous améliorer ce point 2.?
@danielAzuelos C'est l'une des raisons pour lesquelles j'ai écrit "rendre les choses plus difficiles" au lieu de "protège contre".
kasperd
2015-05-22 15:39:28 UTC
view on stackexchange narkive permalink

Si la clé de déchiffrement est stockée en clair sur le même support que les données chiffrées, alors le chiffrement est inutile. Si vous avez un ensemble de règles, qui exigent que les données soient cryptées, mais permettent de stocker la clé en clair sur le même support, alors les règles sont imparfaites. Si jamais vous êtes confronté à un ensemble de règles aussi imparfait, vous devriez le signaler.

Si la clé n'est pas stockée sur le même support que les données. Ensuite, le cryptage a un but. Cela soulève cependant la question de savoir d'où le serveur obtient la clé au démarrage. Il existe quelques options:

  • Exiger un mot de passe à saisir lors du démarrage. Ce n'est pas très pratique pour un serveur.
  • Récupérez la clé de déchiffrement d'un serveur de clés. Cela peut empêcher le déchiffrement des données si le serveur a été volé, il suffit que le serveur de clés ne réponde qu'aux demandes provenant du centre de données.
  • Secret partage la clé sur plusieurs disques. Ne fait rien pour le cas où le serveur est volé. Mais si vous avez un RAID où des disques uniques sont parfois remplacés, cela garantit que toutes les données laissées sur les disques retournés sous garantie sont correctement cryptées. Lorsqu'un nouveau disque est ajouté au RAID, une implémentation de cette technique devrait effectuer les opérations suivantes:
    • Générer une clé de chiffrement pour ce disque individuel.
    • Générer une nouvelle clé principale.
    • Secret partage la nouvelle clé principale sur tous les disques.
    • Sur chaque disque, écrivez la clé de chiffrement de disque chiffrée sous la nouvelle clé principale.

Les trois approches décrites ci-dessus peuvent être combinées. S'ils sont combinés, le serveur de clés pourrait être implémenté en utilisant RSA aveugle.

Notez que récupérer la clé de déchiffrement à partir d'un serveur de clés ne vous aiderait pas vraiment à éviter les fuites. Tout ce qu'il fait, c'est vous permettre de créer une piste d'audit du moment où la clé est accédée.
Si tout va bien, si vous vous donnez la peine de FDE en utilisant dm-crypt, vous reconnaissez la nécessité d'un TPM pour héberger la clé de déchiffrement. Les choses que vous avez mentionnées sont évitées en utilisant correctement un TPM, car la clé ne le quitte jamais et s'intègre étroitement avec le logiciel OS et FDE pour décrypter au besoin sans s'exposer à une simple rétro-ingénierie.
@LieRyan Si l'attaquant vole le serveur avec les données chiffrées mais ne vole pas le serveur de clés, alors l'attaquant ne pourra pas déchiffrer les données. Cela suppose bien sûr que le serveur de clés ne répond qu'aux demandes provenant du centre de données. Le serveur de clés lui-même pourrait utiliser un autre serveur de clés pour déchiffrer son propre disque. Le retour aux mots de passe serait nécessaire pour démarrer les serveurs de clés au cas où les deux seraient mis hors tension simultanément.
@JeffMeden: Il faut veiller tout particulièrement à ce que la puce TPM ne devienne pas un point de défaillance unique. Cela liera en effet le contenu des disques à la puce TPM et à la carte mère, si la carte mère meurt, alors le contenu du disque risque de ne pas être récupérable ...
@JeffMeden Vous feriez confiance à la résistance à l'altération contre un attaquant qui peut utiliser autant de temps qu'il le souhaite pour le casser. L'attaquant aurait volé le serveur, y compris tout le matériel clé nécessaire pour déchiffrer. L'attaquant pourrait même démarrer la machine et essayer de l'attaquer via le réseau dans une configuration où aucun IDS ne peut alerter personne, et personne ne peut couper la connexion réseau de l'attaquant à la cible. Cela ne me semble pas très robuste. Je préférerais de loin que l'attaquant ne vole pas tous les serveurs du centre de données afin d'avoir la clé de déchiffrement.
@WhiteWinterWolf Quoi que vous fassiez, je voudrais toujours qu'il soit organisé de manière à ce que le disque puisse être déchiffré à l'aide d'un mot de passe. Le mot de passe est pour les situations d'urgence, et l'autre approche est pour le démarrage normal.
@kasperd, A convenu qu'un TPM n'est probablement pas parfait, mais c'est l'état actuel de la technique lorsqu'il s'agit de gérer correctement le matériel de clé de chiffrement dans un environnement potentiellement hostile. Il faudrait (à l'heure actuelle) à un attaquant un dévouement et des ressources importants pour le compromettre (c'est-à-dire le génie maléfique de l'État-nation ou du milliardaire). Pour un attaquant «ordinaire», vous suivriez les preuves du vol (sans aucun doute, de nombreuses photos de sécurité ont été prises, y compris le visage et le véhicule), allez dans leur cachette et récupérez le serveur avec l'aide des forces de l'ordre.
@JeffMeden Ce n'est que l'état de l'art, si vous vous limitez à des solutions qui exigent que tout soit à l'intérieur de la machine que vous devez protéger. Si vous profitez de la possibilité de communiquer entre différentes machines au sein du centre de données, des méthodes beaucoup plus sécurisées sont possibles.
@kasperd, votre prémisse inclut l'avertissement qu'il y a un niveau de sécurité plus élevé autour des «différentes machines», mais dans la plupart des paramètres de colocation (où vit une grande partie d'Internet), il n'y a pas d'autre choix que de mettre tous les œufs dans le même panier.
@kasperd: si la machine peut redémarrer sans intervention humaine, la machine contient également nécessairement la clé d'accès pour s'authentifier auprès du serveur de clés. Je ne peux penser à aucun scénario d'attaque où l'attaquant ne peut pas simplement voler cette clé d'authentification et la clé de chiffrement du disque en même temps.
@LieRyan Pour la troisième fois: Le serveur de clés ne doit répondre qu'aux requêtes du réseau local. Une fois le serveur volé, il n'est plus sur le réseau local.
@kasperd: comment pourriez-vous avoir une autorisation suffisante pour copier le disque dur du serveur mais pas l'autorisation d'établir une connexion réseau sur le réseau local lui-même? Le seul scénario possible est que si vous déconnectez le serveur pour le transport physique, je conviens que FDE est nécessaire. Dans la plupart des autres circonstances, l'attaquant aurait déjà eu accès au réseau local pour pouvoir prendre une image disque.
@LieRyan Les voleurs ne demandent généralement pas la permission de voler quelque chose. Et ils veulent généralement s'en sortir rapidement, il n'est donc pas réaliste de compromettre la clé en communiquant avec le serveur de clés sur place. Et oui, la déconnexion du serveur pour le transport physique est implicite lorsque je parle de voler un serveur. Si les voleurs ne déconnectaient pas le serveur et ne le transportaient pas physiquement, vous ne diriez pas qu'il a été volé.
@kasperd: "permission" a un contexte spécifique dans la sécurité informatique. Comme le PO l'a mentionné, le vol physique est la moindre de vos préoccupations dans un centre de données de haute sécurité, qui aurait des gardes armés à plein temps, des caméras couvrant tous les angles, des journaux d'accès physique, des portes en acier et des vérifications d'identité et des antécédents et des fouilles avant que vous puissiez approchez-vous même des machines. Les machines individuelles seraient également placées dans des cages en acier individuelles. Vous ne pouvez pas simplement déconnecter une machine et fuir un centre de données haute sécurité.
@LieRyan Sure permission a une signification spécifique dans ce contexte. Mais une fois que le serveur a été volé et se trouve dans un endroit contrôlé par l'adversaire, nous ne sommes plus dans ce contexte. Et toutes les mesures de sécurité physique peuvent réduire le risque de vol, mais cela ne l'élimine pas. Avec une bonne ingénierie sociale, une personne pourrait entrer, prendre un serveur et s'en aller avec.
Guntram Blohm supports Monica
2015-05-23 02:38:57 UTC
view on stackexchange narkive permalink

Il y a des attaques sur le firmware des disques durs. Google pour l'attaque du micrologiciel du disque dur renverra des résultats sur ce que la NSA fait ou peut faire, ce qui n'est probablement pas très pertinent pour vous; mais même les amateurs sont capables de modifier le firmware des lecteurs. Ce type a même installé un noyau Linux sur son disque dur - non, ce n’est pas le PC qui exécutait Linux, le contrôleur de disque dur lui-même le faisait.

Si quelqu'un y accède au micrologiciel de vos disques (par exemple, que quelqu'un loue un serveur de votre centre de données pendant un mois, puis le renvoie; la société du centre de données essuie les disques, puis vous attribue ce serveur), il se peut que le micrologiciel du disque le fasse quelque chose comme "Chaque fois qu'un bloc écrit sur le disque contient un modèle spécial, pendant les 5 minutes suivantes, dans chaque bloc de lecture commençant par root: $ 1 $ , remplacez les premiers octets par (un hachage de mot de passe) ", vous avez une attaque presque indétectable. Votre fichier / etc / shadow vous semblera normal sauf pendant la fenêtre de temps de 5 minutes après que votre attaquant a demandé un fichier avec un nom contenant le modèle de déclenchement de votre serveur Web, qui l'a écrit dans son journal d'erreurs .

Peu probable? Sûr. Impossible? Définitivement pas. Est-il paranoïaque de supposer que cela pourrait arriver? Probablement oui, selon l'intérêt de vos données. Mais le cryptage de vos disques vous protégera de ce type d'attaque, et cela ne vous coûtera rien d'autre que quelques cycles de processeur. Et, s'il y a des lois ou des règlements à suivre, en cas de faille de sécurité, je ne veux certainement pas être en mesure d'expliquer pourquoi je pensais que cela n'aurait pas d'importance.

David Lin
2015-05-24 10:42:51 UTC
view on stackexchange narkive permalink

Considérez ce que vous entendez par centre de données «sécurisé».

En général, je ne considère rien de sûr contre un attaquant déterminé et disposant de ressources suffisantes. Certes, disposer de 18 pouces de béton armé, de doubles pièges à homme et d'une sécurité armée offre une bonne protection, mais il est rare que cette protection soit juste pour vous. Dans la plupart des installations de colocation, la seule chose qui vous protège d'un personne avec 500 $ et suffisamment de connaissances pour louer un espace de rack dans le même établissement que vous est une cage métallique douteusement sécurisée avec un gobelet à trois broches.

Parfois, des catastrophes naturelles et causées par l'homme inonderont les choses, couperont le courant, empoisonner les approvisionnements en eau et faire toutes sortes de choses inhabituelles qui empêchent les agents de sécurité et les techniciens de se présenter au travail ou de simplement rentrer chez eux dans leurs familles - ce que je dis, c'est que les centres de données n'offrent qu'un niveau de sécurité qui n'est probablement pas aussi autant que beaucoup de leurs clients le pensent.

Reconsidérez votre position sur le faible risque que votre entrepreneur de mise au rebut perde des disques.

Un certificat de destruction vous donne également droit ..... les 20 $ que vous leur avez payés pour détruire un lecteur qui n'a pas été détruit?

Avez-vous visité votre installation d'élimination des disques durs? Vérifié leurs procédures d'embauche? Vu leurs garanties? Assurez-vous d'être solide à ce sujet, car c'est l'une des vulnérabilités les plus évidentes - un changement de garde.

Donc, ce n'est pas du tout ce que vous avez demandé, qu'en est-il de la menace interne vous avez en fait posé la question.

Ok, un initié aurait accès via votre FDE et verrait les fichiers non chiffrés. Dans votre scénario FDE, cela ne fera rien pour empêcher ou ralentir l'initié d'accéder aux données.

Ce qu'il fera, c'est canaliser votre menace d'initié pour passer par votre FDE, ce qui vous permettrait de vous connecter , surveiller et identifier un coupable, ou du moins un suspect. Être capable d'identifier votre attaquant est une couche de sécurité.

Mais, je suis à peu près sûr que l'entonnoir n'est pas principalement à quoi sert FDE. Même si vous avez FDE, vous pouvez toujours implémenter un autre cryptage au niveau du fichier ou un autre cryptage de données en plus de FDE. Vous pouvez aussi toujours utiliser les contrôles d'accès du système d'exploitation.

FDE protège contre les initiés qui n'ont pas accès via le FDE. Il empêche les techniciens de serveur de remplacer les disques en prenant un et de s'en aller avec des données. Il protège contre un employé de l'installation de serveur qui en prend un dans un conteneur d'expédition à votre installation en attente de transport à votre entrepreneur de destruction.

FDE vous permet un autre niveau pour arrêter les menaces internes également, si vous séparez votre ferme ou utilisez un accès granulaire - disons que vos initiés n'ont accès qu'à certains serveurs, etc. FDE les empêcherait de simplement copier en gros des disques auxquels ils n'ont pas accès via le FDE.

En termes simples , FDE protège les données du disque contre l'accès physique au disque. Vous pouvez essayer de contrôler l'accès physique autant que vous le souhaitez, mais les lecteurs se retrouveront toujours avec une certaine vulnérabilité (volés par des initiés, copiés par des initiés, transit de garde là où des initiés les touchent, non surveillés en raison d'une catastrophe, etc. ). Si les gens touchent le lecteur, FDE est une couche de défense contre lui.

David

peterh - Reinstate Monica
2015-05-23 03:56:15 UTC
view on stackexchange narkive permalink

Pas sûrement. Cela dépend de ce que vous voulez vous défendre. Quelques exemples:

  • Si vous vivez dans un pays, où le gouvernement peut confisquer votre serveur pour analyser son contenu, puis l'utiliser contre vous ou votre employeur.
  • Si vous êtes le propriétaire du serveur, mais ne donnez pas la possibilité à vos employés / collègues d'y avoir un accès physique, qu'ils volent / reflètent son contenu. Ensuite, vous leur permettez de le réparer / démarrer, mais ne leur donnez pas les clés de chiffrement.
  • La même chose pourrait servir de protection efficace si vous ne pouvez pas / ne voulez pas faire confiance à votre solution d'hébergement de serveur.

Cela dépend des circonstances. Ces circonstances que j'ai montrées à titre d'exemple sont au moins rares dans mon environnement, mais elles pourraient être possibles.

Si vous êtes dans un environnement professionnel normal, ne le faites pas. Il a pris beaucoup d'heures de travail et a une durée de service prolongée. À mon avis, dans la plupart des cas, cela ne vaut pas son prix.

Corvus B
2015-05-25 07:13:12 UTC
view on stackexchange narkive permalink

Citation: "... ils ont peu ou rien fait pour réduire les risques associés aux données non chiffrées..."

Ok, oui, je pense que vous avez raison. La réponse simple est «c'est inutile», mais «ce n'est PAS non plus inutile». C'est pourquoi, et pardonnez-moi de dire cela, je pense que vous aboyez peut-être dans le mauvais arbre. Laissez-moi expliquer. Le chiffrement complet du disque (FDE) a un certain objectif - même si ce n'est que pour un sous-ensemble d'exploits de faible probabilité. Il existe un certain nombre d'exploits possibles - et une probabilité FAIBLE n'équivaut pas à une probabilité NON.

Alors, est-ce inutile? Pas entièrement. Mais pourquoi vous opposez-vous à cela? Souhaitez-vous accorder plus d'attention à la sécurité lorsque les serveurs sont en cours d'exécution et que les données ne sont pas chiffrées? Cela entre dans la région où les faits peuvent vous faire moins de bien, et un sens de la politique peut vous être utile.

Il se peut que votre objectif dans cet argument au travail soit d'établir votre expertise. Ou peut-être qu'il y a quelque chose que vous pensez devoir faire et que personne n'y prête attention. Tout ce qui précède est valide et raisonnable et fait partie de l'environnement de travail quotidien. Je pourrais mal interpréter votre question, mais il me semble que vous pourriez obtenir un meilleur résultat en plaidant pour l'action que vous pensez devoir être faite, plutôt que contre une action qui EST en cours. Choisissez vos combats.

Tim X
2015-05-29 01:43:19 UTC
view on stackexchange narkive permalink

D'après votre description, je suppose que vous avez raison. Autrement dit, le chiffrement complet du disque n'ajoute aucune protection réelle pour vos données sur un serveur en cours d'exécution si quelqu'un compromettait ce serveur pour extraire les données. Ce n'est pas l'objectif du chiffrement intégral du disque. Cependant, cela ne signifie pas qu'il n'y a aucun cas pour avoir un cryptage complet du disque sur un serveur. Comme indiqué dans d'autres articles, il existe de bonnes raisons d'avoir un cryptage complet du disque sur un serveur, comme une protection contre le vol, un contrôle efficace de l'élimination du disque ou le renvoi des disques défectueux au fournisseur, etc. Cependant, si vous devez protéger les données sur le serveur lorsqu'il est en cours d'exécution, vous aurez généralement besoin d'un cryptage de fichier, de table, etc. en plus du cryptage du disque - ce n'est pas nécessairement une situation soit / ou.

L'autre chose à considérer est que la sécurité concerne les couches de protection. Suggérer que vous avez mis en place de bons contrôles pour l'élimination des disques et que vous n'avez donc pas besoin d'un chiffrement complet du disque suppose que les contrôles utilisés pour l'élimination des disques n'échoueront jamais. Cependant, ces types de contrôles ont généralement un contenu procédural et humain élevé - ils dépendent fortement du fait que l'administrateur suit correctement la procédure. D'après mon expérience, ce sont les types de contrôles les plus susceptibles d'échouer. Il se peut que le nouvel employé oublie ou ne soit pas au courant de la procédure, ce pourrait être cet administrateur système expérimenté qui fait face à une panne de haute pression où le patron fait pression sur lui pour qu'il récupère le service dès que possible, etc. simplement un autre contrôle de protection qui soulage une partie de la pression du personnel et réduit l'impact possible d'une simple erreur humaine.

Là où les choses tournent mal avec le chiffrement complet du disque, c'est quand les gens supposent qu'il résout plus de problèmes qu'il ne le fait réellement - cela semble être le sens de votre argument / préoccupation. J'ai vu de nombreux fournisseurs et même des administrateurs convaincre la direction que les données sont sûres simplement parce qu'elles utilisent un cryptage complet du disque. En conséquence, peu ou pas d'analyse des risques réels est effectuée concernant les risques lorsque le serveur est en cours d'exécution. J'ai récemment réalisé un grand projet de stockage de données pour un client impliquant des données potentiellement sensibles et / ou précieuses. Il était assez surprenant de voir le nombre de fournisseurs qui ne répondaient pas correctement aux questions de chiffrement. Leur réponse de base était que "c'est ok, le système utilise un cryptage complet du disque". Une fois que j'ai approfondi et donné des exemples et demandé comment leur cryptage complet du disque protégerait contre divers scénarios pour un serveur en cours d'exécution, leur réponse générale était "Oh, eh bien c'est un problème que l'application doit résoudre".

Pour moi, le plus gros problème que j'ai rencontré à la fois avec le cryptage complet du disque et le cryptage au niveau des fichiers / tables est le manque fréquent de réelle considération concernant la gestion des clés. Pour moi, la plupart des solutions semblent faibles dans leur soutien pour permettre une gestion des clés cohérente et fiable. J'ai vu plusieurs fois un système dans lequel on m'a parlé de toute la merveilleuse utilisation du cryptage pour protéger les données uniquement pour constater que les clés utilisées sont mal protégées - presque après réflexion. Pire encore, en raison du manque d'approche bonne ou comprise, vous rencontrez des centres de données où la même clé est utilisée à plusieurs endroits ou à plusieurs niveaux simplement pour que les administrateurs puissent les gérer efficacement et être en mesure de récupérer si nécessaire.

user4755220
2015-05-27 01:40:20 UTC
view on stackexchange narkive permalink

Merci à tous pour vos commentaires. En résumé, la question du titre, est-ce que FDE pour un serveur dans un centre de données sécurisé est inutile? La réponse n'est pas nécessairement car il pourrait y avoir des scénarios où l'on voudrait une protection supplémentaire sur les appareils physiques. Par exemple, la protection pendant la destruction, la protection du pays hôte ou la protection en cas de panne de disque, entre autres situations.

Dans le texte, la question était quelque peu différente de celle indiquée dans le titre. Le problème dans la question principale était que les données étaient compromises non pas par un accès physique au serveur mais par un accès logique aux données. Sur la base des réponses, il semble que FDE n'offre pas cette protection. La solution est transparente pour l'utilisateur où les données sont décryptées sur le serveur lors du démarrage. À ce stade, on dépend d'autres contrôles tels que les pare-feu, une bonne gestion des accès, une authentification forte et des correctifs.

Ma préférence est qu'en plus de ces contrôles pour le cryptage au niveau du fichier ou du champ à utiliser avec l'accès aux clés de cryptage étant limité pour fournir une couche supplémentaire de sécurité.

Une chose que je n'ai pas vu mentionnée est que j'ai entendu dire que FDE peut également fournir une protection contre certains types de logiciels malveillants qui pourraient copier les informations par programmation. Cependant, je n'ai pas été en mesure de confirmer cette affirmation par la recherche.

Joachim Wagner
2015-07-27 18:16:10 UTC
view on stackexchange narkive permalink

Voici 2 autres avantages (en supposant que vous utilisez de nouvelles clés de chiffrement chaque fois que vous réinstallez):

  • Si vous exécutez des outils de récupération de fichiers qui analysent le périphérique de bloc complet, par exemple PhotoRec, vous n’avez pas à vérifier des tonnes d’anciens fichiers qui n’ont plus d’intérêt.

  • Si vous exécutez des outils de réparation du système de fichiers qui analysent le périphérique bloc complet, vous n’exécutez pas le risque de confondre les structures et méta-données d'un ancien système de fichiers avec le système actuel.

JJ



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...